CN114615032A - 行为安全基线融合学习方法、装置、电子设备及存储介质 - Google Patents
行为安全基线融合学习方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114615032A CN114615032A CN202210187316.0A CN202210187316A CN114615032A CN 114615032 A CN114615032 A CN 114615032A CN 202210187316 A CN202210187316 A CN 202210187316A CN 114615032 A CN114615032 A CN 114615032A
- Authority
- CN
- China
- Prior art keywords
- behavior
- time
- learning method
- safety baseline
- baseline
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006399 behavior Effects 0.000 title claims abstract description 584
- 238000000034 method Methods 0.000 title claims abstract description 229
- 230000004927 fusion Effects 0.000 title claims abstract description 67
- 230000003542 behavioural effect Effects 0.000 claims abstract description 62
- 238000013500 data storage Methods 0.000 claims description 40
- 238000004590 computer program Methods 0.000 claims description 17
- 238000010586 diagram Methods 0.000 description 16
- 238000004458 analytical method Methods 0.000 description 7
- 238000001514 detection method Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供一种行为安全基线融合学习方法、装置、电子设备及存储介质,方法包括:获取行为安全基线规则;其中,所述行为安全基线规则包括规则参数;根据所述行为安全基线规则,确定行为安全基线学习方法;根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线。本发明提供的方法,能够实现行为安全基线学习的数据完整性,提升行为安全基线的准确性,降低误报率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种行为安全基线融合学习方法方法、装置、电子设备及存储介质。
背景技术
随着技术的发展和知识的扩散,网络攻击方法和数量也随之大幅增加,各种新攻击手段层出不穷,给安全分析人员和产品带来了很大的挑战和压力。传统的安全分析和检测手段是基于先验知识,采用特征的方式来对网络数据和日志进行安全检测,这种方式可以应对已知攻击方法,但是对未知和新的攻击方法的检测效率较低,无法适应当前严峻的网络安全态势。近年来随着机器学习的发展和实时计算框架的兴起,基于行为的安全分析方法开始越来越多的应用于各类安全产品中。
相关技术中,基于行为的安全分析方法采用机器学习的方法,通过对网络数据和日志进行学习,统计和归纳出用户和实体的行为特点,通过学习出的行为安全基线,能很好的用于异常行为分析和检测,完成很多基于特征的方式无法达到的效果。但是,行为安全基线学习的数据并不完整,影响行为安全基线学习的数据完整性,导致行为安全基线的准确性低,误报率高。
发明内容
针对相关技术存在的行为安全基线的准确性低,误报率高等问题,本发明提供一种行为安全基线融合学习方法、装置、电子设备及存储介质。
本发明提供一种行为安全基线融合学习方法,方法包括:
获取行为安全基线规则;其中,所述行为安全基线规则包括规则参数;
根据所述行为安全基线规则,确定行为安全基线学习方法;
根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线。
根据本发明提供的一种行为安全基线融合学习方法,所述规则参数包括以下至少一项:时间窗口、历史行为数据存储地址及实时行为数据队列地址。
根据本发明提供的一种行为安全基线融合学习方法,所述行为安全基线学习方法包括以下至少一项:
历史行为数据学习方法;其中,所述历史行为数据学习方法的参数包括:所述历史行为数据存储地址及第一时间范围;所述第一时间范围包括t1至t2;t1为行为安全基线的开始学习时间,t2为行为安全基线的结束学习时间;
实时行为数据学习方法;其中,所述实时行为数据学习方法的参数包括:所述实时行为数据队列地址及第一时间范围;
混合行为数据学习方法;其中,所述混合行为数据学习方法的参数包括:所述历史行为数据存储地址及第二时间范围;所述实时行为数据队列地址及第三时间范围;所述第二时间范围包括t1至t3;所述第三时间范围包括t3至t2;t3为实时行为数据的开始时间。
根据本发明提供的一种行为安全基线融合学习方法,所述根据所述行为安全基线规则,确定行为安全基线学习方法,包括:
根据所述时间窗口,计算所述行为安全基线的开始学习时间和所述行为安全基线的结束学习时间;
根据所述历史行为数据存储地址探测历史行为数据的时间范围;
判断所述行为安全基线的结束学习时间是否早于所述历史行为数据的终止时间;
在所述行为安全基线的结束学习时间早于所述历史行为数据的终止时间的情况下,将所述历史行为数据学习方法,确定为所述行为安全基线学习方法;
在所述行为安全基线的结束学习时间晚于所述历史行为数据的终止时间的情况下,根据所述实时行为数据队列地址探测实时行为数据时间范围;判断所述行为安全基线的开始学习时间是否晚于所述实时行为数据的开始时间;在所述行为安全基线的开始学习时间晚于所述实时行为数据的开始时间的情况下,将所述实时行为数据学习方法,确定为所述行为安全基线学习方法;
在所述行为安全基线的开始学习时间早于所述实时行为数据的开始时间的情况下,将所述混合行为数据学习方法,确定为所述行为安全基线学习方法。
根据本发明提供的一种行为安全基线融合学习方法,在所述行为安全基线学习方法是所述历史行为数据学习方法的情况下,根据所述历史行为数据学习方法到对应的所述历史行为数据存储地址中读取所述第一时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习,得到行为安全基线;
在所述行为安全基线学习方法是所述实时行为数据学习方法的情况下,根据实时行为数据学习方法到对应的所述实时行为数据队列地址中读取所述第一时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习,得到行为安全基线;
在所述行为安全基线学习方法是所述混合行为数据学习方法的情况下,分阶段执行所述混合行为数据学习方法,得到行为安全基线。
根据本发明提供的一种行为安全基线融合学习方法,所述分阶段执行所述混合行为数据学习方法,得到行为安全基线,包括:
执行所述历史行为数据学习方法,到对应的所述历史行为数据存储地址中读取所述第二时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习;
执行所述实时行为数据学习方法,到对应的所述实时行为数据队列地址中读取所述第三时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习,得到行为安全基线。
本发明还提供一种行为安全基线融合学习装置,所述装置包括:
获取模块,用于获取行为安全基线规则;其中,所述行为安全基线规则包括规则参数;
确定模块,用于根据所述行为安全基线规则,确定行为安全基线学习方法;
生成模块,用于根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述行为安全基线融合学习方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述行为安全基线融合学习方法的步骤。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述行为安全基线融合学习方法的步骤。
本发明提供的行为安全基线融合学习方法,通过获取行为安全基线规则,根据行为安全基线规则确定行为安全基线学习方法;再根据根据行为安全基线学习方法及行为安全基线规则,对规则参数对应的行为数据进行学习,得到行为安全基线,实现行为安全基线学习的数据完整性,提升行为安全基线的准确性,降低误报率。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的行为安全基线融合学习方法的流程示意图之一;
图2是本发明提供的行为安全基线融合学习方法的时间周期示意图之一;
图3是本发明提供的行为安全基线融合学习方法的时间周期示意图之二;
图4是本发明提供的行为安全基线融合学习方法的时间周期示意图之三;
图5是本发明提供的行为安全基线融合学习方法的流程示意图之二;
图6是本发明提供的行为安全基线融合学习方法的架构图;
图7是本发明提供的融合学习计算器计算流程示意图;
图8是本发明提供的行为安全基线学习器计算流程示意图;
图9是本发明提供的行为安全基线融合学习装置的结构示意图;
图10是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图,通过一些实施例及其应用场景对本发明提供的行为安全基线融合学习方法进行详细地说明。
本发明提供一种行为安全基线融合学习方法,该行为安全基线融合学习方法可适用于应对网络攻击的安全分析和检测的场景中,通过获取行为安全基线规则,根据行为安全基线规则确定行为安全基线学习方法;再根据行为安全基线学习方法及行为安全基线规则,对规则参数对应的行为数据进行学习,得到行为安全基线,实现行为安全基线学习的数据完整性,提升行为安全基线的准确性,降低误报率。
图1是本发明提供的行为安全基线融合学习方法的流程示意图之一,如图1所示,该方法包括步骤101-步骤103,其中:
步骤101,获取行为安全基线规则;其中,所述行为安全基线规则包括规则参数;
步骤102,根据所述行为安全基线规则,确定行为安全基线学习方法;
步骤103,根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线。
需要说明的是,本发明提供的行为安全基线融合学习方法可适用于应对网络攻击的安全分析和检测的场景中。该方法的执行主体可以为行为安全基线融合学习装置,例如电子设备、或者该行为安全基线融合学习装置中的用于执行行为安全基线融合学习方法的控制模块。
可选地,所述规则参数包括以下至少一项:时间窗口、历史行为数据存储地址及实时行为数据队列地址。
具体地,时间窗口,用于计算行为安全基线的学习周期参数;历史行为数据存储地址,用于探测历史行为数据时间范围;实时行为数据队列地址,用于探测实时行为数据时间范围。
需要说明的是,在存储历史行为数据和实时行为数据的过程中,每存储一个行为数据,该行为数据的存储地址对应一个存储时间,因此,历史行为数据存储地址和实时行为数据队列地址分别对应具体的存储时间,从而根据历史行为数据存储地址可以探测历史行为数据范围,根据实时行为数据队列地址可以探测实时行为数据范围。
可选地,所述行为安全基线学习方法包括以下至少一项:
历史行为数据学习方法;其中,所述历史行为数据学习方法的参数包括:所述历史行为数据存储地址及第一时间范围;所述第一时间范围包括t1至t2;t1为行为安全基线的开始学习时间,t2为行为安全基线的结束学习时间;例如,开始学习时间可以使用learnStart表示,结束学习时间可以使用learnEnd表示,则第一时间范围可以表示为<learnStart,learnEnd>。
图2是本发明提供的行为安全基线融合学习方法的时间周期示意图之一,如图2所示:
第一时间范围包括:t1至t2;
第四时间范围包括:t5至t6;其中:
t1为行为安全基线的开始学习时间;
t2为行为安全基线的结束学习时间;
t5为历史行为数据的开始时间;
t6为历史行为数据的结束时间。
例如,历史行为数据的开始时间使用historyDataStart表示,历史行为数据的结束时间使用historyDataEnd表示,则第一时间范围可以表示为<historyDataStart,historyDataEnd>。
2)实时行为数据学习方法;其中,所述实时行为数据学习方法的参数包括:所述实时行为数据队列地址及第一时间范围。
图3是本发明提供的行为安全基线融合学习方法的时间周期示意图之二,如图3所示:
第一时间范围包括:t1至t2;
第五时间范围包括:t3至t4;其中:
t1为行为安全基线的开始学习时间;
t2为行为安全基线的结束学习时间;
t3为实时行为数据的开始时间;
t4为实时行为数据的结束时间。
例如,实时行为数据的开始时间使用realTimeDataStart表示,历史行为数据的结束时间使用realTimeDataEnd表示,则第五时间范围可以表示为<realTimeDataStart,realTimeDataEnd>。
3)混合行为数据学习方法;其中,所述混合行为数据学习方法的参数包括:所述历史行为数据存储地址及第二时间范围;所述实时行为数据队列地址及第三时间范围;所述第二时间范围包括t1至t3;所述第三时间范围包括t3至t2;t3为实时行为数据的开始时间;例如,实时行为数据的开始时间可以使用realTimeDataStart表示,则第二时间范围可以表示为<learnStart,realTimeDataStart>,第三时间范围可以表示为<realTimeDataStart,learnEnd>。
图4是本发明提供的行为安全基线融合学习方法的时间周期示意图之三,如图4所示:
第一时间范围包括:t1至t2;
第二时间范围包括:t1至t3;
第三时间范围包括:t3至t2;其中:
t1为行为安全基线的开始学习时间;
t2为行为安全基线的结束学习时间;
t3为实时行为数据的开始时间,或者为历史行为数据的结束时间;
t4为实时行为数据的结束时间。
需要说明的是,根据行为安全基线的开始学习时间和结束学习时间,可以对应在历史行为数据存储地址和实时行为数据队列地址中确定行为安全基线的学习方法,从而提升行为安全基线学习方法的准确性。
本发明提供的行为安全基线融合学习方法,通过获取行为安全基线规则,根据行为安全基线规则确定行为安全基线学习方法;再根据行为安全基线学习方法及行为安全基线规则,对规则参数对应的行为数据进行学习,得到行为安全基线,实现行为安全基线学习的数据完整性,提升行为安全基线的准确性,降低误报率。
基于上述描述的实施例,下面对本发明提供的根据行为安全基线规则,确定行为安全基线学习方法的实现方式进行说明。
可选地,根据所述行为安全基线规则,确定行为安全基线学习方法,包括:
1)根据所述时间窗口,计算所述行为安全基线的开始学习时间 t1和所述行为安全基线的结束学习时间t2;
2)根据所述历史行为数据存储地址探测历史行为数据的时间范围(t5至t6);
3)判断所述行为安全基线的结束学习时间t2是否早于所述历史行为数据的终止时间t6;
在所述行为安全基线的结束学习时间t2早于所述历史行为数据的终止时间t6的情况下,将所述历史行为数据学习方法,确定为所述行为安全基线学习方法。此时,所述历史行为数据学习方法的参数包括:所述历史行为数据存储地址及第一时间范围(t1至t2);
或者,在所述行为安全基线的结束学习时间t2晚于所述历史行为数据的终止时间t6的情况下,根据所述实时行为数据队列地址探测实时行为数据时间范围(t3至t4);判断所述行为安全基线的开始学习时间t1是否晚于所述实时行为数据的开始时间t3;在所述行为安全基线的开始学习时间t1晚于所述实时行为数据的开始时间t3的情况下,将所述实时行为数据学习方法,确定为所述行为安全基线学习方法。此时,所述实时行为数据学习方法的参数包括:所述实时行为数据队列地址及第一时间范围(t1至t2);
4)在所述行为安全基线的开始学习时间t1早于所述实时行为数据的开始时间t3的情况下,将所述混合行为数据学习方法,确定为所述行为安全基线学习方法。此时,所述混合行为数据学习方法的参数包括:所述历史行为数据存储地址及第二时间范围(t1至t3)和所述实时行为数据队列地址及第三时间范围(t3至t2)。
需要说明的是,将行为安全基线的结束学习时间与历史行为数据的终止时间进行对比,可以确定行为安全基线学习方法是否为历史行为数据学习方法;在行为安全基线学习方法不是历史行为数据学习方法的情况下,将行为安全基线的开始学习时间与实时行为数据的开始时间进行对比,可以确定行为安全基线学习方法是否在实时行为数据学习方法;当行为安全基线的开始学习时间晚于实时行为数据的开始时间,及行为安全基线的结束学习时间早于实时行为数据的结束时间时,可以确定行为安全基线学习方法是混合行为数据学习方法,为后续行为数据根据行为安全基线学习方法学习进而生成行为安全基线,提供准确的学习方法。
下面对本发明提供的根据行为安全基线学习方法及行为安全基线规则,对规则参数对应的行为数据进行学习,生成行为安全基线的实现方式进行说明。
可选地,根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线,包括:
方式1,在所述行为安全基线学习方法是所述历史行为数据学习方法的情况下,根据所述历史行为数据学习方法到对应的所述历史行为数据存储地址中读取所述第一时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习,得到行为安全基线;
方式2,在所述行为安全基线学习方法是所述实时行为数据学习方法的情况下,根据实时行为数据学习方法到对应的所述实时行为数据队列地址中读取所述第一时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习,得到行为安全基线;
方式3,在所述行为安全基线学习方法是所述混合行为数据学习方法的情况下,分阶段执行所述混合行为数据学习方法,得到行为安全基线。
其中,上述方式3中分阶段执行混合行为数据学习方法,得到行为安全基线的实现方式可以包括两个阶段:
阶段1,执行所述历史行为数据学习方法,到对应的所述历史行为数据存储地址中读取所述第二时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习;
阶段2,执行所述实时行为数据学习方法,到对应的所述实时行为数据队列地址中读取所述第三时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习,得到行为安全基线。
图5是本发明提供的行为安全基线融合学习方法的流程示意图之二,参见图5,该方法包括步骤501-步骤504,其中:
步骤501,输入<行为安全基线规则>;
步骤502,融合学习计算器根据行为安全基线规则的规则参数< 时间窗口,历史数据源,实时数据源>计算行为数据学习方法;
步骤503,行为安全基线学习器根据融合学习计算器计算的行为数据学习方法开始行为安全基线的学习;
步骤504,输出<行为安全基线>。
图6是本发明提供的行为安全基线融合学习方法的架构图,如图 6所示,包括融合学习计算器、行为安全基线学习器;其中,
当输入行为安全基线规则时,融合学习计算器根据行为安全基线规则的规则参数<时间窗口,历史行为数据存储地址,实时行为数据队列地址>开始计算行为安全基线学习方法。
行为安全基线学习器根据融合学习计算器计算的行为安全基线学习方法,从历史行为数据存储地址和实时行为数据队列地址中分别探测历史行为数据和实时行为数据,并对探测的行为数据进行行为安全基线的学习;当行为数据学习完成之后,输出行为安全基线。
下面结合附图7和附图8,分别对融合学习计算器、行为安全基线学习器的计算方法进行说明。
图7是本发明提供的融合学习计算器计算流程示意图,如图7所示,包括步骤701-步骤709,其中:
步骤701,输入<行为安全基线规则>;
步骤702,根据行为安全基线规则的时间窗口length参数计算数据学习周期参数<learnStart,learnEnd>;
步骤703,根据行为安全基线规则的历史行为数据存储地址参数探测历史行为数据时间范围<historyDataStart,historyDataEnd>;
步骤704,判断参数learnEnd<=historyDataEnd?如果是,则执行步骤705;如果不是,则执行步骤706;
步骤705,使用历史行为数据学习行为安全基线,输出历史行为数据学习方法:<历史行为数据存储地址,待学习行为数据时间范围 [learnStart,learnEnd]>;
步骤706,根据行为安全基线规则的实时行为数据队列地址参数探测实时行为数据时间范围<realTimeDataStart,realTimeDataEnd>;
步骤707,判断参数learnStart>=realTimeDataStart?如果是,则执行步骤708;如果不是,则执行步骤709;
步骤708,使用实时行为数据学习行为安全基线,输出实时行为数据学习方法:<实时行为数据队列地址,待学习行为数据时间范围 [learnStart,learnEnd]>;
步骤709,使用混合行为数据学习行为安全基线,输出混合行为数据学习方法:<历史行为数据存储地址,待学习行为数据时间范围 [learnStart,realTimeDataStart]>+<实时行为数据队列地址,待学习行为数据时间范围[realTimeDataStart,learnEnd]>。
图8是本发明提供的行为安全基线学习器计算流程示意图,如图 8所示,包括步骤801-步骤809,其中:
步骤801,输入<行为安全基线学习方法,行为安全基线规则>;
步骤802,判断行为安全基线学习方法是否为历史行为数据学习方法?如果是,则执行步骤803;如果不是,则执行步骤804;
步骤803,根据历史行为数据学习方法<历史行为数据存储地址,待学习行为数据时间范围[learnStart,learnEnd]>到对应历史行为数据存储地址中读取时间范围[learnStart,learnEnd]的行为数据,按照行为安全规则配置进行行为安全基线学习,学习完成后执行步骤809;
步骤804,判断行为安全基线学习方法是否为实时行为数据学习方法?如果是,则执行步骤805;如果不是,则执行步骤806;
步骤805,根据实时行为数据学习方法<实时行为数据队列地址,待学习行为数据时间范围[learnStart,learnEnd]>到对应实时行为数据队列地址中读取时间范围[learnStart,learnEnd]的行为数据,按照行为安全规则配置进行行为安全基线学习,学习完成后执行步骤809;
步骤806,分阶段执行混合学习方法<历史行为数据存储地址,待学习行为数据时间范围[learnStart,realTimeDataStart]>+<实时行为数据队列地址,待学习行为数据时间范围[realTimeDataStart, learnEnd]>;
步骤807,执行历史行为数据学习方法<历史行为数据存储地址,待学习行为数据时间范围[learnStart,realTimeDataStart]>,到对应历史行为数据存储地址中读取时间范围[learnStart,realTimeDataStart] 的行为数据,按照行为安全规则配置进行行为安全基线学习;
步骤808,在步骤807的学习基础上再执行实时行为数据学习方法<实时行为数据队列地址,待学习行为数据时间范围 [realTimeDataStart,learnEnd]>,到对应实时行为数据队列地址中读取时间范围[realTimeDataStart,learnEnd]的行为数据,按照行为安全规则配置进行行为安全基线学习,学习完成后执行步骤809;
步骤809,输出<行为安全基线>。
下面对本发明提供的行为安全基线融合学习装置进行描述,下文描述的行为安全基线融合学习装置与上文描述的行为安全基线融合学习方法可相互对应参照。
图9为本发明提供的行为安全基线融合学习装置的结构示意图,如图9所示,该行为安全基线融合学习装置900包括:获取模块901、确定模块902和生成模块903;其中,
获取模块901,用于获取行为安全基线规则;其中,所述行为安全基线规则包括规则参数;
确定模块902,用于根据所述行为安全基线规则,确定行为安全基线学习方法;
生成模块903,用于根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线。
本发明提供的行为安全基线融合学习装置,通过获取获取行为安全基线规则,根据行为安全基线规则确定行为安全基线学习方法;再根据行为安全基线学习方法及行为安全基线规则,对规则参数对应的行为数据进行学习,得到行为安全基线,实现行为安全基线学习的数据完整性,提升行为安全基线的准确性,降低误报率。
可选地,所述规则参数包括以下至少一项:时间窗口、历史行为数据存储地址及实时行为数据队列地址。
可选地,所述行为安全基线学习方法包括以下至少一项:
历史行为数据学习方法;其中,所述历史行为数据学习方法的参数包括:所述历史行为数据存储地址及第一时间范围;所述第一时间范围包括t1至t2;t1为行为安全基线的开始学习时间,t2为行为安全基线的结束学习时间;
实时行为数据学习方法;其中,所述实时行为数据学习方法的参数包括:所述实时行为数据队列地址及第一时间范围;
混合行为数据学习方法;其中,所述混合行为数据学习方法的参数包括:所述历史行为数据存储地址及第二时间范围;所述实时行为数据队列地址及第三时间范围;所述第二时间范围包括t1至t3;所述第三时间范围包括t3至t2;t3为实时行为数据的开始时间。
可选地,确定模块902,具体用于:
根据所述时间窗口,计算所述行为安全基线的开始学习时间和所述行为安全基线的结束学习时间;
根据所述历史行为数据存储地址探测历史行为数据的时间范围;
判断所述行为安全基线的结束学习时间是否早于所述历史行为数据的终止时间;
在所述行为安全基线的结束学习时间早于所述历史行为数据的终止时间的情况下,将所述历史行为数据学习方法,确定为所述行为安全基线学习方法;
在所述行为安全基线的结束学习时间晚于所述历史行为数据的终止时间的情况下,根据所述实时行为数据队列地址探测实时行为数据时间范围;判断所述行为安全基线的开始学习时间是否晚于所述实时行为数据的开始时间;在所述行为安全基线的开始学习时间晚于所述实时行为数据的开始时间的情况下,将所述实时行为数据学习方法,确定为所述行为安全基线学习方法;
在所述行为安全基线的开始学习时间早于所述实时行为数据的开始时间的情况下,将所述混合行为数据学习方法,确定为所述行为安全基线学习方法。
可选地,生成模块903,具体用于:
在所述行为安全基线学习方法是所述历史行为数据学习方法的情况下,根据所述历史行为数据学习方法到对应的所述历史行为数据存储地址中读取所述第一时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习,得到行为安全基线;
在所述行为安全基线学习方法是所述实时行为数据学习方法的情况下,根据实时行为数据学习方法到对应的所述实时行为数据队列地址中读取所述第一时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习,得到行为安全基线;
在所述行为安全基线学习方法是所述混合行为数据学习方法的情况下,分阶段执行所述混合行为数据学习方法,得到行为安全基线。
可选地,生成模块903,具体用于:
执行所述历史行为数据学习方法,到对应的所述历史行为数据存储地址中读取所述第二时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习;
执行所述实时行为数据学习方法,到对应的所述实时行为数据队列地址中读取所述第三时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习,得到行为安全基线。
图10是本发明提供的电子设备的结构示意图,如图10所示,该电子设备1000,可以包括:处理器(processor)1010、通信接口 (Communications Interface)1020、存储器(memory)1030和通信总线1040,其中,处理器1010,通信接口1020,存储器1030通过通信总线1040完成相互间的通信。处理器1010可以调用存储器1030 中的逻辑指令,以执行行为安全基线融合学习方法,该方法包括:获取行为安全基线规则;其中,所述行为安全基线规则包括规则参数;根据所述行为安全基线规则,确定行为安全基线学习方法;根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线。
此外,上述的存储器1030中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,计算机程序被处理器执行时,计算机能够执行上述各方法所提供的行为安全基线融合学习方法,该方法包括:获取行为安全基线规则;其中,所述行为安全基线规则包括规则参数;根据所述行为安全基线规则,确定行为安全基线学习方法;根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的行为安全基线融合学习方法,该方法包括:获取行为安全基线规则;其中,所述行为安全基线规则包括规则参数;根据所述行为安全基线规则,确定行为安全基线学习方法;根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种行为安全基线融合学习方法,其特征在于,所述方法包括:
获取行为安全基线规则;其中,所述行为安全基线规则包括规则参数;
根据所述行为安全基线规则,确定行为安全基线学习方法;
根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线。
2.根据权利要求1所述的行为安全基线融合学习方法,其特征在于,所述规则参数包括以下至少一项:时间窗口、历史行为数据存储地址及实时行为数据队列地址。
3.根据权利要求2所述的行为安全基线融合学习方法,其特征在于,所述行为安全基线学习方法包括以下至少一项:
历史行为数据学习方法;其中,所述历史行为数据学习方法的参数包括:所述历史行为数据存储地址及第一时间范围;所述第一时间范围包括t1至t2;t1为行为安全基线的开始学习时间,t2为行为安全基线的结束学习时间;
实时行为数据学习方法;其中,所述实时行为数据学习方法的参数包括:所述实时行为数据队列地址及第一时间范围;
混合行为数据学习方法;其中,所述混合行为数据学习方法的参数包括:所述历史行为数据存储地址及第二时间范围;所述实时行为数据队列地址及第三时间范围;所述第二时间范围包括t1至t3;所述第三时间范围包括t3至t2;t3为实时行为数据的开始时间。
4.根据权利要求3所述的行为安全基线融合学习方法,其特征在于,所述根据所述行为安全基线规则,确定行为安全基线学习方法,包括:
根据所述时间窗口,计算所述行为安全基线的开始学习时间和所述行为安全基线的结束学习时间;
根据所述历史行为数据存储地址探测历史行为数据的时间范围;
判断所述行为安全基线的结束学习时间是否早于所述历史行为数据的终止时间;
在所述行为安全基线的结束学习时间早于所述历史行为数据的终止时间的情况下,将所述历史行为数据学习方法,确定为所述行为安全基线学习方法;
在所述行为安全基线的结束学习时间晚于所述历史行为数据的终止时间的情况下,根据所述实时行为数据队列地址探测实时行为数据时间范围;判断所述行为安全基线的开始学习时间是否晚于所述实时行为数据的开始时间;在所述行为安全基线的开始学习时间晚于所述实时行为数据的开始时间的情况下,将所述实时行为数据学习方法,确定为所述行为安全基线学习方法;
在所述行为安全基线的开始学习时间早于所述实时行为数据的开始时间的情况下,将所述混合行为数据学习方法,确定为所述行为安全基线学习方法。
5.根据权利要求3所述的行为安全基线融合学习方法,其特征在于,所述根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线,包括:
在所述行为安全基线学习方法是所述历史行为数据学习方法的情况下,根据所述历史行为数据学习方法到对应的所述历史行为数据存储地址中读取所述第一时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习,得到行为安全基线;
在所述行为安全基线学习方法是所述实时行为数据学习方法的情况下,根据实时行为数据学习方法到对应的所述实时行为数据队列地址中读取所述第一时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习,得到行为安全基线;
在所述行为安全基线学习方法是所述混合行为数据学习方法的情况下,分阶段执行所述混合行为数据学习方法,得到行为安全基线。
6.根据权利要求5所述的行为安全基线融合学习方法,其特征在于,所述分阶段执行所述混合行为数据学习方法,得到行为安全基线,包括:
执行所述历史行为数据学习方法,到对应的所述历史行为数据存储地址中读取所述第二时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习;
执行所述实时行为数据学习方法,到对应的所述实时行为数据队列地址中读取所述第三时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习,得到行为安全基线。
7.一种行为安全基线融合学习装置,其特征在于,所述装置包括:
获取模块,用于获取行为安全基线规则;其中,所述行为安全基线规则包括规则参数;
确定模块,用于根据所述行为安全基线规则,确定行为安全基线学习方法;
生成模块,用于根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述行为安全基线融合学习方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述行为安全基线融合学习方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述行为安全基线融合学习方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210187316.0A CN114615032A (zh) | 2022-02-28 | 2022-02-28 | 行为安全基线融合学习方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210187316.0A CN114615032A (zh) | 2022-02-28 | 2022-02-28 | 行为安全基线融合学习方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114615032A true CN114615032A (zh) | 2022-06-10 |
Family
ID=81858875
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210187316.0A Pending CN114615032A (zh) | 2022-02-28 | 2022-02-28 | 行为安全基线融合学习方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114615032A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109743187A (zh) * | 2018-11-23 | 2019-05-10 | 北京奇安信科技有限公司 | 工控网络异常检测方法及装置 |
| US10673880B1 (en) * | 2016-09-26 | 2020-06-02 | Splunk Inc. | Anomaly detection to identify security threats |
| CN113765881A (zh) * | 2021-07-20 | 2021-12-07 | 奇安信科技集团股份有限公司 | 异常网络安全行为的检测方法、装置、电子设备及存储介质 |
-
2022
- 2022-02-28 CN CN202210187316.0A patent/CN114615032A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10673880B1 (en) * | 2016-09-26 | 2020-06-02 | Splunk Inc. | Anomaly detection to identify security threats |
| CN109743187A (zh) * | 2018-11-23 | 2019-05-10 | 北京奇安信科技有限公司 | 工控网络异常检测方法及装置 |
| CN113765881A (zh) * | 2021-07-20 | 2021-12-07 | 奇安信科技集团股份有限公司 | 异常网络安全行为的检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110362814B (zh) | 一种基于改进损失函数的命名实体识别方法及装置 | |
| US20200125836A1 (en) | Training Method for Descreening System, Descreening Method, Device, Apparatus and Medium | |
| CN109145030B (zh) | 一种异常数据访问的检测方法和装置 | |
| CN110472268B (zh) | 一种桥梁监测数据模态识别方法及装置 | |
| CN110321458B (zh) | 一种基于控制流图的数据流分析方法及装置 | |
| CN112783508B (zh) | 文件的编译方法、装置、设备以及存储介质 | |
| CN111026087B (zh) | 基于数据的含权重非线性工业系统故障检测方法及装置 | |
| CN117729027A (zh) | 异常行为检测方法、装置、电子设备及存储介质 | |
| CN114760109B (zh) | 用于安全分析的数值行为安全基线生成方法及装置 | |
| CN114615032A (zh) | 行为安全基线融合学习方法、装置、电子设备及存储介质 | |
| CN116306777A (zh) | 模型精度损失定位方法、装置和电子设备 | |
| CN112733015B (zh) | 一种用户行为分析方法、装置、设备及介质 | |
| CN111858862B (zh) | 一种答复推荐方法、答复推荐装置及电子设备 | |
| CN114615021B (zh) | 用于安全分析的实时行为安全基线自动计算方法及装置 | |
| CN112685246B (zh) | 一种时序数据的处理方法及装置 | |
| CN114640509B (zh) | 用于安全分析的实时频率行为安全基线生成方法及装置 | |
| CN113190844B (zh) | 一种检测方法、相关方法及相关装置 | |
| CN114666092A (zh) | 用于安全分析的实时行为安全基线数据降噪方法及装置 | |
| CN113992436B (zh) | 本地情报产生方法、装置、设备及存储介质 | |
| CN114363061B (zh) | 一种异常流量检测方法、系统、存储介质和终端 | |
| CN114942980B (zh) | 一种确定文本匹配方法及装置 | |
| CN114615037A (zh) | 用于安全分析的实时空间行为安全基线生成方法及装置 | |
| CN114615027A (zh) | 行为数据处理方法、装置、设备和存储介质 | |
| CN114338147A (zh) | 一种口令爆破攻击的检测方法及装置 | |
| CN117171623A (zh) | 细粒度的调用链异常检测方法、模型的训练方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |